Czy konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych z wykonawcą audytu, w przypadku gdy pracownicy firmy audytowej będą przetwarzać dane osobowe administratorów danych osobowych?

Urząd miasta w trybie zamówień publicznych planuje zlecić przeprowadzenie audytów w spółkach miejskich (100 % własność gmina). W ramach czynności sprawdzających (audytowych) pracownicy firmy, która wygra przetarg będą przetwarzać dane osobowe odrębnych administratorów danych (prezydenta oraz spółki). Jakie zapisy powinny znaleźć się w umowie z wykonawcą w zakresie ochrony danych osobowych? Czy wymagane jest, aby każdy z administratorów zawarł z wykonawcą audytu odrębną umowę powierzenia danych i czy w ogóle będzie następowało powierzenie danych, a nie udostępnienie danych w celu realizacji usługi? Jeżeli jest to udostępnienie danych, to w jaki sposób administratorzy mogą zadbać o bezpieczeństwo przekazywanych danych? Zaznaczenia wymaga, że zarząd z audytowanych spółek podejmie uchwałę, która będzie regulowała fakt przeprowadzanych audytów.